| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner: TR/Vundo.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.09.2009, 10:45
| #1 |
| |  Trojaner: TR/Vundo.Gen Liebe Trojaner Board Community, ich habe gestern beim Versuch des downloads eines Programms ein trojanisches Pferd aufgegabelt. AntiVir meldet folgendes: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kh1co595.default\Cache\9485443Cd01' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Ich habe diverse Anleitungen im Internet versucht zu befolgen (bei trojaner board und beim AntiVir Forum). Das HijackThis File scheint für die Lösung des Problems relativ wichtig deshalb hab ich das auch mal versucht hinzukriegen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:25:37, on 01.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TPHDEXLG.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\hjt.com.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klassikradio.de/live-stream R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x092e -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x092e -f video -m logitech -d 11.5.0.1145 (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {76E5AF9D-2B3E-4FEB-A31F-A9E63A27FA29} (IASRunner Class) - https://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O20 - Winlogon Notify: ljJAqqOf - ljJAqqOf.dll (file missing) O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- End of file - 13060 bytes Ich hoffe das passt alles so und das ihr mir möglichst schnell weiterhelfen könnt. Nach der ersten Meldung von AntiVir habe ich sicherheitshalber einen kompletten Systemcheck gemacht (konnte zwar nicht fertiggestelt werden da dann irgendwie alles zusammengebrochen ist), dabei kammen dann eigentlich nur noch folgende Meldungen: In der Datei 'C:\WINDOWS\system32\awtqqPHX.dll' wurde ein Virus oder unerwünschtes Programm 'ADSPY/Virtumonde.AA9' [adware] gefunden. Ausgeführte Aktion: Zugriff verweigern (natürlich immer mit verschiedenen Dateien) Vielen Dank für eure Hilfe! Liebe Grüsse |
|
01.09.2009, 10:54
| #2 |
  | Trojaner: TR/Vundo.Gen Bitte folgende Files prüfen:
__________________Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Programme\Ask.com\GenericAskToolbar.dll
CCleaner: Anleitung & Download: http://www.trojaner-board.de/51464-a...-ccleaner.html Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJAqqOf
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify
Files to delete:
C:\Programme\Ask.com\GenericAskToolbar.dll
Folders to delete:
C:\Programme\Ask.com
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
Danach bitte MAM, RSIT und Gmer: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Chris
__________________ |
|
01.09.2009, 16:47
| #3 |
| | Die geforderten Daten Vielen Dank für die schnelle Antwort, soweit hat alles geklapt!!
__________________Hier das Ergebnis von VirusTotal: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.01 - AhnLab-V3 5.0.0.2 2009.09.01 - AntiVir 7.9.1.7 2009.09.01 - Antiy-AVL 2.0.3.7 2009.09.01 - Authentium 5.1.2.4 2009.08.31 - Avast 4.8.1335.0 2009.08.31 - AVG 8.5.0.406 2009.09.01 - BitDefender 7.2 2009.09.01 - CAT-QuickHeal 10.00 2009.09.01 - ClamAV 0.94.1 2009.09.01 - Comodo 2124 2009.09.01 - DrWeb 5.0.0.12182 2009.09.01 - eSafe 7.0.17.0 2009.09.01 - eTrust-Vet 31.6.6714 2009.09.01 - F-Prot 4.5.1.85 2009.09.01 - F-Secure 8.0.14470.0 2009.09.01 - Fortinet 3.120.0.0 2009.09.01 - GData 19 2009.09.01 - Ikarus T3.1.1.68.0 2009.09.01 - Jiangmin 11.0.800 2009.09.01 - K7AntiVirus 7.10.833 2009.09.01 - Kaspersky 7.0.0.125 2009.09.01 - McAfee 5727 2009.09.01 - McAfee+Artemis 5726 2009.08.31 - McAfee-GW-Edition 6.8.5 2009.09.01 - Microsoft 1.5005 2009.09.01 - NOD32 4386 2009.09.01 - Norman 2009.09.01 - nProtect 2009.1.8.0 2009.09.01 - Panda 10.0.2.2 2009.09.01 - PCTools 4.4.2.0 2009.08.31 - Prevx 3.0 2009.09.01 - Rising 21.45.14.00 2009.09.01 - Sophos 4.45.0 2009.09.01 - Sunbelt 3.2.1858.2 2009.08.31 - Symantec 1.4.4.12 2009.09.01 - TheHacker 6.3.4.3.393 2009.08.31 - TrendMicro 8.950.0.1094 2009.09.01 - VBA32 3.12.10.10 2009.09.01 - ViRobot 2009.9.1.1911 2009.09.01 - VirusBuster 4.6.5.0 2009.09.01 - weitere Informationen File size: 1144712 bytes MD5...: ae66ad17d7c262beb09e85729598f51b SHA1..: 6d53b652747639c8ab7049ea2dd301c217480f41 SHA256: 496ecbc533cca9c2e96fcdcc8bec61e197f5b83da4ceb8128c26d89027d868d5 ssdeep: 24576:KH88kHE9F+OUo+XLVBE+312H0AuXHn2oxZFd7eLLDGm3e54+009ThrNHQd Vm3:PE9pt+XL3UU52qFdmLDZu54+04ThrNHb PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9d405 timedatestamp.....: 0x4a38373e (Wed Jun 17 00:22:22 2009) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xc3344 0xc3400 6.69 1fc37a7091eccf09694da07db11c2e48 .rdata 0xc5000 0x2ec73 0x2ee00 5.76 bb060244953c2a0e93bc4696f7bca315 .data 0xf4000 0xafe8 0x6600 4.54 d3ecea50b51725d0fc69640088108eca .rsrc 0xff000 0xc150 0xc200 6.97 8bf081b95b1fba57c85b95a318c26541 .reloc 0x10c000 0x112ca 0x11400 5.20 43ebdae3358b13497173153324d22816 ( 14 imports ) > VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoW > WININET.dll: InternetCrackUrlW, InternetOpenUrlA, HttpQueryInfoW, InternetReadFile, InternetCloseHandle, InternetOpenW > KERNEL32.dll: TlsGetValue, GlobalReAlloc, TlsAlloc, TlsSetValue, LocalReAlloc, TlsFree, SetErrorMode, FileTimeToSystemTime, WritePrivateProfileStringW, GlobalFlags, DuplicateHandle, GetVolumeInformationW, FileTimeToLocalFileTime, GetFileSizeEx, GetFileTime, HeapFree, HeapAlloc, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, ExitThread, CreateThread, GetCommandLineA, HeapReAlloc, RtlUnwind, ExitProcess, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapCreate, HeapDestroy, VirtualFree, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, IsValidCodePage, LCMapStringW, LCMapStringA, GetTimeFormatA, GetDateFormatA, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetTimeZoneInformation, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, GetConsoleCP, GetConsoleMode, InitializeCriticalSectionAndSpinCount, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetEnvironmentVariableA, SetEnvironmentVariableW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetProcessHeap, GlobalFindAtomW, CompareStringW, GlobalAddAtomW, ResumeThread, FreeResource, GlobalDeleteAtom, GetCurrentThread, ConvertDefaultLocale, EnumResourceLanguagesW, lstrcmpA, CompareStringA, InterlockedExchange, DeleteFileA, AreFileApisANSI, GetTempPathA, GetVersionExA, LockFileEx, FlushFileBuffers, ReadFile, GetFileAttributesA, FormatMessageA, GetSystemTimeAsFileTime, LockFile, UnlockFile, QueryPerformanceCounter, SetEndOfFile, SetFilePointer, GetFileSize, GetFullPathNameA, GetFullPathNameW, GetACP, LocalUnlock, LocalFree, LocalLock, LocalAlloc, GetVersionExW, FormatMessageW, GetLocaleInfoW, GetTempPathW, FindClose, FindFirstFileW, GetUserDefaultUILanguage, CreateProcessA, lstrcpyA, GetTickCount, SetThreadLocale, GetThreadLocale, DeleteFileW, LoadLibraryA, GlobalFree, GlobalHandle, CreateDirectoryW, GetSystemTime, OutputDebugStringW, lstrcpynW, CreateFileW, WriteFile, CreateFileA, lstrcatW, CreateProcessW, WideCharToMultiByte, DeleteCriticalSection, InitializeCriticalSection, WaitForSingleObject, CreateEventW, CloseHandle, Thread32Next, Thread32First, CreateToolhelp32Snapshot, GetCurrentProcessId, SetEvent, LoadLibraryExW, lstrcmpiW, FreeLibrary, InterlockedDecrement, InterlockedIncrement, lstrcpyW, Sleep, lstrlenA, lstrcmpW, MulDiv, GlobalUnlock, GlobalLock, GlobalAlloc, LockResource, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetCurrentProcess, OutputDebugStringA, GetModuleFileNameW, LoadLibraryW, GetFileAttributesW, GetVersion, GetModuleHandleA, SetLastError, FindResourceW, LoadResource, SizeofResource, MultiByteToWideChar, GetLastError, RaiseException, GetModuleHandleW, GetProcAddress, lstrlenW, InterlockedCompareExchange, IsProcessorFeaturePresent, HeapSize > USER32.dll: LoadIconW, SendDlgItemMessageA, WinHelpW, GetClassLongW, SetPropW, GetPropW, RemovePropW, GetMessageTime, SetMenu, RegisterClassW, EqualRect, GetDlgCtrlID, GetMenu, SystemParametersInfoA, GetWindowPlacement, IsWindowEnabled, PeekMessageW, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, GetMenuState, GetSubMenu, DestroyCursor, GetClassInfoW, GrayStringW, DrawTextExW, TabbedTextOutW, SetForegroundWindow, GetLastActivePopup, LoadBitmapW, GetDialogBaseUnits, GetWindowDC, SetRect, KillTimer, SetTimer, GetKeyState, MessageBeep, FindWindowW, IsHungAppWindow, GetNextDlgTabItem, EnableWindow, GetAncestor, GetForegroundWindow, DrawTextW, GetSystemMetrics, DrawFrameControl, SystemParametersInfoW, LoadImageW, DialogBoxIndirectParamW, SetMenuItemInfoW, AppendMenuW, InsertMenuW, CreatePopupMenu, RemoveMenu, TrackPopupMenuEx, ModifyMenuW, PtInRect, GetCursorPos, IsIconic, IsWindowVisible, GetMenuItemInfoW, SetRectEmpty, DestroyMenu, MessageBoxW, wsprintfW, CheckMenuItem, GetMenuItemID, GetMenuItemCount, GetTopWindow, UpdateWindow, InflateRect, GetWindowThreadProcessId, CallNextHookEx, UnhookWindowsHookEx, SetWindowsHookExW, SetCursor, MessageBoxA, wsprintfA, PostQuitMessage, GetCapture, SetActiveWindow, DispatchMessageW, TranslateMessage, PostMessageW, GetMessageW, GetActiveWindow, WindowFromPoint, GetMessagePos, ShowWindow, CopyRect, IntersectRect, IsRectEmpty, OffsetRect, AdjustWindowRectEx, RegisterWindowMessageW, GetWindowTextLengthW, GetWindowTextW, BeginPaint, EndPaint, IsChild, GetFocus, SetFocus, IsWindow, GetClassNameW, GetSysColor, RedrawWindow, GetClassInfoExW, CreateAcceleratorTableW, PostThreadMessageW, RegisterClipboardFormatW, CharUpperW, GetNextDlgGroupItem, CopyAcceleratorTableW, GetSysColorBrush, UnregisterClassW, IsDialogMessageW, CreateDialogIndirectParamW, ClientToScreen, MoveWindow, SetCapture, ReleaseCapture, FillRect, InvalidateRgn, InvalidateRect, GetDC, ReleaseDC, GetDesktopWindow, DestroyAcceleratorTable, LoadCursorW, RegisterClassExW, SendMessageW, SendDlgItemMessageW, MapDialogRect, SetWindowContextHelpId, EndDialog, EnumChildWindows, CreateWindowExW, ScreenToClient, DestroyWindow, GetDlgItem, GetWindow, MonitorFromWindow, GetMonitorInfoW, GetWindowRect, GetParent, GetClientRect, MapWindowPoints, SetWindowPos, SetWindowTextW, CallWindowProcW, DefWindowProcW, GetWindowLongW, SetWindowLongW, CharNextW, UnregisterClassA, EnableMenuItem > GDI32.dll: GetViewportExtEx, GetWindowExtEx, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, RestoreDC, ScaleWindowExtEx, ExtSelectClipRgn, GetMapMode, GetTextColor, GetRgnBox, SaveDC, SetMapMode, SelectObject, BitBlt, DeleteDC, GetStockObject, GetObjectW, GetDeviceCaps, SetBkMode, DeleteObject, CreateSolidBrush, Escape, TextOutW, RectVisible, PtVisible, EnumFontFamiliesExW, TranslateCharsetInfo, GetBkColor, GetCharABCWidthsW, CreateFontW, GdiFlush, CreateDIBSection, SetDIBits, GetDIBits, CreateBitmap, GetTextMetricsW, SetWindowOrgEx, OffsetWindowOrgEx, GetClipBox, CreateFontIndirectW, SetTextColor, CreateRectRgnIndirect, ExtTextOutW, SetBkColor, GetTextExtentPoint32W, CreateCompatibleDC, CreateCompatibleBitmap > COMDLG32.dll: GetFileTitleW > WINSPOOL.DRV: DocumentPropertiesW, ClosePrinter, OpenPrinterW > ADVAPI32.dll: RegOpenKeyW, RegEnumKeyW, RegEnumValueW, RegSetValueExA, RegDeleteValueA, RegEnumValueA, RegCreateKeyExA, RegFlushKey, RegQueryValueExW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegOpenKeyExW, RegEnumKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegQueryValueW > SHELL32.dll: ShellExecuteW, SHGetFolderPathW > SHLWAPI.dll: StrStrIW, -, PathFindExtensionW, PathFindFileNameW, PathStripToRootW, PathIsUNCW, StrCmpNW > oledlg.dll: OleUIBusyW > ole32.dll: OleLockRunning, StringFromGUID2, OleIsCurrentClipboard, CreateILockBytesOnHGlobal, CoTaskMemAlloc, CoCreateInstance, CoRegisterMessageFilter, CoGetClassObject, CLSIDFromProgID, CLSIDFromString, OleInitialize, CoFreeUnusedLibraries, CoRevokeClassObject, CoTaskMemFree, CoTaskMemRealloc, CoInitialize, CoUninitialize, CoCreateGuid, StringFromCLSID, StgOpenStorageOnILockBytes, StgCreateDocfileOnILockBytes, CreateStreamOnHGlobal, OleUninitialize, OleFlushClipboard > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > gdiplus.dll: GdipDrawPath, GdipDeletePath, GdipCreatePath, GdipDeletePen, GdipCreatePen2, GdipSetLineSigmaBlend, GdipSetSmoothingMode, GdipAddPathLine, GdipCloneBrush, GdipAlloc, GdipFree, GdipDeleteBrush, GdipCreateLineBrushFromRectWithAngleI, GdipCreateFromHDC, GdipDeleteGraphics, GdipFillRectangleI, GdipCreateSolidFill ( 5 exports ) DllCanUnloadNow, DllGetClassObject, DllInstall, DllRegisterServer, DllUnregisterServer RDS...: NSRL Reference Data Set - pdfid.: - trid..: DirectShow filter (43.0%) Windows OCX File (26.3%) Win64 Executable Generic (18.2%) Win32 Executable MS Visual C++ (generic) (8.0%) Win32 Executable Generic (1.8%) |
|
01.09.2009, 17:06
| #4 |
| | Avenger results Hier noch die Resultate von The Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\Programme\Ask.com\GenericAskToolbar.dll" deleted successfully. Folder "C:\Programme\Ask.com" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJAqqOf" deleted successfully. Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
01.09.2009, 22:01
| #5 |
| | Log von Anti Malware - eher erschreckend... Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2725 Windows 5.1.2600 Service Pack 3 01.09.2009 22:01:18 mbam-log-2009-09-01 (22-00-27).txt Scan-Methode: Vollständiger Scan (C:\|D:\|R:\|) Durchsuchte Objekte: 278663 Laufzeit: 3 hour(s), 16 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 15878 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a7a4dfc1-32c7-4a3c-bfac-21b526a00347} (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a7a4dfc1-32c7-4a3c-bfac-21b526a00347} (Trojan.Vundo) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP679\A0214007.exe (Trojan.Banker) -> No action taken. C:\WINDOWS\system32\fccddaWM.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\geBspppp.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\vtUnklkI.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\vtUoMGYr.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\ddcCTmkj.dll (Trojan.Vundo) -> No action taken. ... C:\WINDOWS\system32\yayyyywx.dll (Trojan.Vundo) -> No action taken. Musste es leider kürzen da das Maximum an Zeichen erreicht wurde... das sieht eher schlecht aus oder? ich weiss nicht ob der die gerade versucht zu löschen (war zumindest der Befehl), der Balken unten links macht keine Fortschritte...  |
|
02.09.2009, 06:42
| #6 |
| | Trojaner: TR/Vundo.Gen Hi, MAM meldet No Action taken, hast Du alle Funde löschen lassen? Wenn es zu Problemen kommt, bitte wie folgt vorgehen: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Danach noch mal MAM und alles bereinigen lassen (Full scan); RSIT: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. chris
__________________ --> Trojaner: TR/Vundo.Gen |
|
| Themen zu Trojaner: TR/Vundo.Gen |
| antivir guard, ask toolbar, ask.com, avira, bho, bonjour, desktop, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, lenovo, mp3, picasa, registry, security, senden, sicherheitshalber, software, solution, spyware, system, systemcheck, tr/vundo.gen, trojaner, trojaner board, trojanisches pferd, tuneup.defrag, virus, windows, windows xp |
Linear-Darstellung
